Подключение Azure SQL сервера PASS DB

Question

Я использую SSMS для подключения к Azure БД со своего ноутбука. Я указал IP-адрес своего портативного компьютера в разделе «Установить брандмауэр сервера». Однако каждый раз при подключении из SSMS он учитывает мой IP-адрес publi c, а не IP-адрес ноутбука.

Мои вопросы:

   1.why it's not considering my Laptop IP? 

   2. How safe is it to configure a public IP address in Azure's "set server firewall"? Will not it possible someone having same public IP can able to connect to Azure DB?

   3. How the Azure DB can be configured so that it should account the request from my laptop IP only? 

Пожалуйста, помогите. Спасибо.

Answer 1

Azure PaaS-сервис имеет конечную точку publi c, поэтому это означает, что вы не можете подключиться к ним со своего частного IP-адреса, вы должны настроить Azure PaaS с вашим publi c IP. Существует возможность сделать конечную точку publi c частной конечной точкой, используя частную ссылку, точку vpn на сайт, шлюз виртуальной сети. Пожалуйста, ознакомьтесь с этой статьей для более подробной информации.

Вы можете защитить свое соединение от publi c IP с использованием брандмауэра Azure PaaS, как только ваше соединение от вашего источника к azure разрешает только ваш c IP, но вы должны менять этот IP в брандмауэре каждый раз, когда ваш IP обновляется, если он динамический c . Лучше всего использовать частную ссылку или Azure Instance Manager SQL, который имеет больше возможностей, но дороже, чем Azure PaaS SQL.

Answer 2

Чтобы помочь вам ответить на эти вопросы, мы сначала должны рассмотреть задействованную топологию сети. Ваш ноутбук, скорее всего, подключен к точке беспроводного доступа, которая подключена к сетевому коммутатору. Весь трафик c на коммутаторе (или серии коммутаторов в зависимости от вашего местоположения) использует частные IP-адреса для связи. Эти адреса не могут маршрутизироваться на publi c inte rnet. Чтобы вы могли получить доступ к базе данных Azure SQL, которая находится в другой частной сети, чем ваш ноутбук, она должна была пройти через publi c inte rnet. Это означает, что ваш трафик c проходит через серию маршрутизаторов, и для правильной маршрутизации соединения между вами и Azure ему необходим ваш IP-адрес publi c.

Безопасно определенный момент. Сервер Azure SQL, к которому вы подключаетесь, также использует SSL / TLS для шифрования трафика c, поэтому обмен данными по сети publi c зашифрован. Ваша озабоченность по поводу фактического подделки IP-адреса publi c является допустимой, поэтому важно убедиться, что вы выбрали надежный пароль для входа в систему SQL. Microsoft также развертывает серию пограничных служб безопасности, которые отслеживают атаки на любые из своих служб, чтобы гарантировать безопасность своей платформы и полностью блокировать подозреваемые атаки.

Если вы хотите ограничить трафик, c, чтобы можно использовать только ваш ноутбук, теперь мы представляем сложную, но выполнимую архитектуру. Вам нужно будет настроить VNet и VPN-шлюз в Azure и подключить эти две службы. Затем вам нужно будет подключить базу данных Azure SQL к VNet, которую вы только что настроили. После завершения вам нужно будет получить доступ к VPN с вашего ноутбука, который предоставит вам доступ к базе данных. Фактическая настройка не является тривиальной, так как необходимо принять во внимание множество вещей, таких как стоимость, аппаратные возможности на вашей стороне и требования безопасности.

В конце концов, что должно привести к «правильному решению» должны быть ваши требования безопасности. Для некоторых достаточно работы через IP-адрес publi c, для других - доступ к нему через VPN.

Чтобы ответить на ваш комментарий ниже, мне нужно больше места, поэтому я изменяю решение *. 1011 *

Каждый раз, когда вы делаете что-то общедоступным через inte rnet, есть возможность получить к нему доступ кто-то другой. Шансы тем ниже, чем сложнее пароль для ресурса. Если у вас нет stati c IP-адреса для вашего inte rnet или кто-то подделывает ваш publi c IP-адрес, есть вероятность, что злоумышленник сможет подключиться к Azure SQL серверу. . Именно здесь в игру вступает сложность пароля. Чем надежнее пароль, тем сложнее / дольше потребуется грубая сила.

Если у вас есть время для исследования / изучения этого, я бы посоветовал взглянуть на онлайн-обучение Microsoft имеет сертификат Azure Solutions Architect. Думаю, это поможет вам лучше разобраться в тонкостях создания такого решения, как это.

https://docs.microsoft.com/en-us/learn/certifications/azure-solutions-architect